ARP攻击与故障排除知识

ARP攻击与故障排除知识ARP透视——出现ARP欺骗攻击时的现象1、网上银行、游戏及QQ账号的频繁丢失一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息。运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。2、网速时快时慢，极其不稳定，但单机进行光纤数据测试时一切正常当局域内的某台计算机被ARP的欺骗程序非法侵入后，它就会持续地向网内所有的计算机及网络设备发送大量的非法ARP欺骗数据包，阻塞网络通道，造成网络设备的承载过重，导致网络的通讯质量不稳定。3、局域网内频繁性区域或整体掉线，重启计算机或网络设备后恢复正常当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。发贴者dengguo时间：下午6:390评论标签：ARP欺骗,ARP欺骗攻击ARP透视——传统的几种解决ARP问题的方式方案一：过滤局域网的IP，关闭高危险的端口，关闭共享。升级系统补丁，升级杀毒软件。安装防火墙，设置防ARP的选项。微软ISA防火墙功能强大，可是很占系统资源。配置服务器是Linux的强项，当然能阻止部分ARP危害网络。但是从根本上并没有解决掉ARP的问题，长时间超负荷运转对硬件的损害也显而易见。方案二：发现乱发ARP包的主机后，即通过路由器、硬件防火墙等设备在网关上阻止与其它主机通信。迅速找到主机，断开其网络连接。检查机器是因为病毒木马发送ARP包破坏网络环境，还是人为的使用ARP的网络管理软件。既然是使用的网络管理软件，先得询问使用者是否有管理网络的特权。既然没有特权又为何管理、控制网络呢？方案三：通过高档路由器进行双向绑定，即从路由器方面对从属客户机IP-MAC地址进行绑定，同时从客户机方面对路由器进行IP-MAC地址绑定，双向绑定让IP不容易被欺骗。这种方案的实施比较烦琐，在客户机器或路由器更改硬件时，需要对全网进行重新的MAC地址扫描并重新绑定，工作量巨大。所取得的效果，仅仅可以防御住一些低端的ARP欺骗，对于攻击型ARP软件则无任何作用。方案四：使用ARP防护软件，针对ARP欺骗攻击的软件在网络中很多，但具体的效果却一直不理想。多数软件单单针对ARP欺骗攻击的某一方面特性进行制作抵御软件的原理，并没有从根本上去考虑ARP欺骗攻击的产生与传播方式。所以，这些软件在ARP防范领域影响甚微。针对上述几种常见的传统防范ARP的方法，都有各自的优点，但是也都曝漏了其局限性，并不都可以完全解决ARP欺骗攻击。网络中多台主机同时高频率的发送ARP广播，会很轻易的造成网络瘫痪、路由器死机，使其它主机响应迟缓，甚至造成系统停止响应（假死）。如果是ARP木马，还会进行传播，同时感染其它网络中的其它主机，产生众多主机同时中毒的现象。发贴者dengguo时间：下午6:390评论标签：ARP欺骗,防范ARP攻击ARP透视——ARP欺骗，骗的是什么?主持人:大家好，今天的主题是《ARP欺骗，骗的是什么?》很高兴邀请到我们的嘉宾资深网络技术专家张先生，为我们解答问题。张:谢谢主持人。主持人:他的title虽然是营销总监，但是也有深厚的功底，相信他今天给我们带来精采的解答。前一段时间，有一件事情被炒得非常火热，就是MSN被监听。实际上媒体也对MSN的监听软件做了报告，实际上它并不是非常容易被使用。但是网上后来又出了叫停类的文章，是说MSNMessenger是配合ARP欺骗软件，就起到了它原本应该有的作用。我们想问一下张先生，ARP欺骗到底是什么样的技术?张:ARP欺骗我们必须从它的名词来讲。ARP欺骗它是一个地址解读的协议。地址解读协议是什么意思呢?在我们互联网上面，最常用的协议是TCPIP，就是传输的协议。IP就是所谓定址的协议。好比我们用哪一栋大楼，在什么地方，在网络上就是使用IP地址来定的。但是在实体上，我们大家都知道，在每一台电脑上都有实体的地址。IP地址是网络的一个地址。ARP就是让这两个地址跟IP地址产生关联的一个协议。也就是说，我怎么知道哪一台IP在什么位置呢?就是透过ARP去先地方他的IP地方在哪里，再把这个侦发过去。像MSN是怎么欺骗的呢?在局域网里面，我这个侦或者这个包本来要发到某一个IP，这个IP对的机器是A机器。它骗你这个IP对应的是第一台机器。你就以为这个包要发到另外一台机器去。这就是所谓ARP欺骗的基本想法和思维。主持人:ARP欺骗对于我们局域网的一些应用看来是很危险的。张:我从各地，从东莞，温州、宁波，在中国，普遍发现ARP欺骗影响，在早期是网吧。它就是让这个网吧掉线。其实我们早期发现的时候，刚刚主持人讲的一些应用就是所谓的MSN监听。在所谓的MSN，并没有做特殊的加密。有些人就想了一些机制去监听。其实ARP最早的应用就是在网络上盗取密码的。就是有一些在网吧里的用户，用ARP欺骗。另外一个用户在输入用户名和密码的时候，就欺骗他的这台机器说，我的机器是路由器，他会把用户名的密码送到我这台机器里面。他就可以把这个用户名和密码解读出来。等用户没有上网的时候，他就可以把这个宝盗走。后来慢慢我们发现，很多用户用这个功能，在这个上面做了很多的隐身，变得一发不可收拾。本来我大概可以用三秒、五秒，后来就产生了很多隐身和变形，造成网断线。因为应用的软件失控了，他就可以在某一台机器上不断做这个欺骗的动作。主持人:ARP欺骗软件运行同时，为什么会造成频繁的断线呢?张:在我们以局域网运作来讲，我们有两种方式的传输。一种对外传，就是我的用户有一个需求，他透过路由器对外界传送。这个时候，这是一种。另外一种是回传。当有用户在网络上假装他自己是路由器的时候，用户往外传的包或者侦就会送到假的用户去。这个软件就会有一来、一回持续的运作。当你今天碰到ARP欺骗的时候，你就会发现你送去给他，他那边没有回应。用户就觉得是掉线或者断线。严重的时候，就会把其他的应用，也没有办法应用了。所以就感觉到大幅度掉线或者断线的功能。主持人:实际上就是造成断线的假象。张:实际上也真的断线了。就像我今天跟你在讲话，但是你听不到我讲话的声音。我的服务器也不知道我在跟他讲什么话。另外一个人听到话，只是把它窃取下来，记录下来，并没有给我回应。就是这样的现象。主持人:刚才也说老了ARP欺骗最早可以用于盗取用户的一些密码、一些敏感信息。现在我们知道，所有未加密的传送的软件，都应用配合一些应用工具监听的。能不能再给我们介绍一下，配合ARP欺骗使用，还有什么所谓的黑客行为呢?张:盗宝是最主要的，另外就是监听。当ARP欺骗，可能配合其他的一些软件功能这样子的。我们发现，在局域网里面，想盗取一些ARP，或者无线网络里面，基本上都是用局域网的特性叫广播。广播，像我们刚才提到的ARP欺骗为什么可以成型?在每一个计算机里面，都存了一个IP地址的对应表。但是每台机器的内存有限，当这个表不够的时候，会传一个广播信息。比如今天我要送给一个IP地址，我就问这个IP在哪里?问出来，所有人都会接受。假如在标准正常的运作里面，大家知道我不是这个，我不用回应。但是路由器知道，这个东西不是这个网域里面，不用送。如果是假装这个IP地址的话，你就会产生一种误解。其实这种比较重大的威胁，我们看到无线这边，有人利用这个特性，做一些相关的动作。主持人:也就是说，在无线或者有限的局域网里面，你所做的一些行为，都可以用黑客软件配合ARP监控软件进行欺骗，截取。张:有一些比较低阶段的应用就是所谓的监听。如果在对于这些软件做进一步的分析，比如我这个软件送的时候是什么需求，回来的时候是什么需求。他可以用另外一个目标把你所有的动作都拦截回去。如果今天对方知道，像一个交易，他知道第一笔是什么，第二笔是什么，他把所有的资料都送过去。他也可以把你的讯息拦截走，再转送到服务器，再转送回来。这样的隐身就变成了蛮复杂的状况在应用。这也是各地对ARP效果影响越来越大的原因。主持人:这个是一般用户来说，也是蛮头疼的问题。张:用户因为不小心，用了一些软件，或者在PC里面点了一些MSN的连接等等，把这个程序启动了，他会发现自己渐渐受到了影响。像今天早上我们的技术支持跟我们说，湖北一些网吧，几乎没有人上网了。因为上不了网。主持人:像有这种加密的软件传送，信息也是能被黑客截取。只是截取后看不到内容?张:是的。主持人:前一阵子出有一个msnchatsniffer这样的软件，发现每一台机器都受到了扫描攻击。后来我们分析，是中了病毒还是木马这类东西呢?张:其实在早期里面，ARP的很多功能，像陀螺仪木马这样的功能期在一起。在早期的ARP，只是黑客用来盗取密码，用了三、五秒钟。当你输入用户名和密码的时候，另外一个用户发现没有回应，他会再输一次。但是因为这些ARP的功能跟其他的木马或者其他的城市，或者网络上的连接、病毒结合在一起，所以造成很大规模的影响，断线或者掉线。像你刚刚提到的状况，这个用户可能不知道自己在做这样的事情，这是典型的病毒，这是病毒跟ARP结合的典型现象。主持人:他能通过ARP欺骗的病毒做什么呢?张:ARP欺骗的病毒做到现在，对于制作的人或者散布的人没有什么太大的作用，纯粹是破坏的工具。因为ARP可以收集网络上广播的包，如果进一步的应用，肯定会有很多的黑客在思考这个问题。因为网络上的特性属于来回，属于协议这样的状况，如果你好好利用，好的方向能保持网络顺畅，不好的方向可以拦截任何他需要的资讯。主持人:从今年开始，在病毒这边应该是说黑客已经从最早的表现欲，已经转变成有目的性的盈利的目标，也就是说，ARP欺骗很可能被成为黑客盈利的手段。张:你怎么样发生ARP欺骗的状况，我们必须从原理开始讲。最简单的就是叫做ARP跟IP地址的对照表。我们有一些文章描述到，你可以对这个网络进行扫描。像这个ARP的对照表，可以对这个网络进行扫描。当你发现某一个对应IP地址的话，正常是一对一的关系，如果发现一对多的方式那就是异常的情况。回到我们刚刚讲的，预防ARP。我们必须建立地址跟IP的固定关系。因为它会欺骗你。我们现在所谓绑定的功能，我们刚才讲了有两个方向做绑定，一个是路由器的部分，你必须把内部的所有的机器，IP地址做一个绑定。我们想了一些功能，可以让它作后面做激活的动作把它绑定。很多用户发现我只要在路由器这边做好了就行了，在终端这边就不用做了。但是这样的话，会发生部分的现象。所以在用户这边有所谓的ARP—S的功能，你把你的路由器的位置，也做绑定。这样送给路由器的包就不会被别人拦截去。我们刚才谈到了两个方向，一个是所谓的路由器端做绑定，就是所有机器的IP地址。另外是用户端也要绑定，绑的是路由器的IP，跟路由器的地址。实际上我们最近发现另外一个现象，就是对于中毒的这台机器还有另外的处理方式。中毒的这台机器，虽然你针对每台机器绑定，但是这个设定从开机以后，就失效了。所以我们建议用户把它写到启动的档案里面。每次开机的时候激活这个功能。另外中毒的这台机器，虽然绑定了，但是它内部已经有病毒了。虽然绑定了，但是它可以每秒快速写它的ARP。这时候他对别人没有办法造成危害。因为别人已经把路由器跟这个机器的位置写得很确定了。对这台上网的人还是有很多的困扰。我们这种传统的绑定功能可以给他快速的写。写到一秒两百次这样的速度。我们现在看到比较好的做法，就是把藏在里面的病毒去除掉，或者整个机器都要清理一下病毒。这是我们现在比较完整的处理方式。主持人:真的是很精彩的解答。如果我只对我个人的PC机做了绑定，路由那端没有做绑定，还会不会受到ARP欺骗?张:在个人这边做绑定，你可以确保你往路由送的包，确定会送到路由这边去。但是路由送回来的时候，他可以在半路拦截。告诉你路由器不要送给它，送给我吧。就把这个包拦截过去了。所以我们刚才谈到要双向的包要严密。现在有些网吧如果做单方面的绑定是不行的。主持人:很多人认为我一边绑定就可以了，实际上还是需要双方相的绑定。河北前一段时间某公司，采用了贵公司的产品，和